Sicherheitsüberlegungen zu Dynamics 365 Customer Engagement (on-premises)
Dynamics 365 Customer Engagement (on-premises) wurde so entwickelt, das es hilft, die Sicherheit Ihrer Bereitstellung zu erhöhen. Dieser Abschnitt enthält Informationen und bewährte Methoden für die Dynamics 365 Customer Engagement (on-premises)-Anwendung. Weitere Informationen:Übersicht zur Sicherheit für Microsoft Dynamics 365.
Welches Dienstkonto sollte ich auswählen?
Wenn Sie eine Identität angeben, um einen Dynamics 365 Customer Engagement (on-premises)-Dienst auszuführen, können Sie entweder das Netzwerkdienstkonto oder ein Domänenbenutzerkonto auswählen.
Wenn der Dienst mit Netzwerkdiensten interagiert, greift er auf Domänenressourcen zu, wie freigegebene Dateiablagen, oder wenn er Verbindungsserver-Verbindungen zu anderen Computern verwendet, können Sie ein Domänenkonto mit minimalen Berechtigungen verwenden. Viele Server-zu-Server-Aktivitäten können mit einem Domänenbenutzerkonto ausgeführt werden und stellen und die sicherste Option zur Verfügung. Dieses Konto sollte vom Domänenadministrator in Ihrer Umgebung vorab erstellt werden.
Notiz
Wenn Sie einen Service konfigurieren für die Verwendung eines Domänenkonto konfigurieren, können Sie die Berechtigungen für die Verwendung isolieren, Sie müssen jedoch Kennwörter manuell veralten oder eine benutzerdefinierte oder Lösung zum Verwalten der Kennwörter erstellen. Viele Serveranwendungen verwenden diese Strategie, um die Sicherheit zu erhöhen, diese Strategie erfordert jedoch zusätzliche Komplexität und Verwaltung. In diesen Bereitstellungen wenden Serviceadministratoren beträchtliche Zeit für Wartungsaufgaben auf, wie Verwalten von Servicekennworten und Dienstprinzipalnamen (SPNs), die für die Kerberos-Authentifizierung erforderlich sind. Darüber hinaus können diese Wartungsaufgaben den Service stören.
Das Netzwerkdienstkonto ist ein integriertes Konto, das über Zugriff auf mehr Ressourcen und Objekte verfügt als Mitglieder der Domänenbeutzergruppe. Services, die als Netzwerkdienstkontozugriffs-Netzwerkressourcen ausgeführt werden, indem sie die Anmeldeinformationen des Computertkontos im Format <domain_name>\<computer_name>$ verwenden. Der tatsächliche Name des Kontos ist NT AUTHORITY\NETWORK SERVICE.
Für Microsoft Dynamics 365-Setup und -Dienste erforderliche Mindestberechtigungen
Dynamics 365 Customer Engagement (on-premises) ist so konzipiert, dass die Funktionen unter separaten Identitäten ausgeführt werden können. Indem Sie ein Domänenbenutzerkonto angeben, das nur zum Aktivieren einer bestimmten Funktion berechtigt ist, tragen Sie zur Sicherheit des Systems bei und verringern damit die Wahrscheinlichkeit von Missbrauch.
In diesem Thema werden die vom Benutzerkonto für Dynamics 365 Customer Engagement (on-premises)-Dienste und -Funktionen erforderlichen Mindestberechtigungen erläutert.
Einrichtung von Microsoft Dynamics CRM Server
Das Benutzerkonto, das für die Ausführung der Dynamics 365 Server-Einrichtung verwendet wird und die Erstellung von Datenbanken beinhaltet, erfordert die folgenden Mindestberechtigungen:
Es muss Mitglied der Active Directory-Domänenbenutzergruppe sein. Von Active Directory-Benutzern und -Computern werden standardmäßig neue Benutzer zur Domänenbenutzergruppe hinzugefügt.
Es muss Mitglied der Administratorgruppe auf dem lokalen Computer sein, auf dem Setup ausgeführt wird.
Es muss über Lese- und Schreibberechtigungen für den lokalen Programmordner verfügen.
Es muss Mitglied der Administratorgruppe auf dem lokalen Computer sein, auf dem sich die Instanz von SQL Server befindet, die zum Speichern der Dynamics 365 Customer Engagement (on-premises)-Datenbanken verwendet wird.
Es muss Mitglied von „sysadmin“ auf der Instanz von SQL Server sein, die zum Speichern der Dynamics 365 Customer Engagement (on-premises)-Datenbanken verwendet wird.
Lassen Sie sich die Berechtigung für die Erstellungen von Organisationseinheiten und Sicherheitsgruppen und zum Hinzufügen von Mitgliedschaften zu diesen Gruppen in Active Directory zuweisen. Alternativ können Sie eine Setup-XML-Konfigurationsdatei verwenden, um Dynamics 365 Server zu installieren, wenn bereits Sicherheitsgruppen erstellt wurden. Weitere Informationen finden Sie unter Verwenden der Eingabeaufforderung zum Installieren von Microsoft Dynamics 365.
Sind SQL Server Reporting Services auf einem anderen Server installiert, müssen Sie die Inhalts-Manager-Rolle auf Stammebene für das zu installierende Benutzerkonto hinzufügen. Außerdem müssen Sie die Systemadministratorrolle auf websiteweiter Ebene für das zu installierende Benutzerkonto hinzufügen.
Berechtigungen für Microsoft Dynamics 365-Dienste und IIS-Anwendungspoolidentitäten
In diesem Abschnitt werden die Mindestberechtigungen aufgelistet, die Domänenbenutzerkonto für die Dienste und die IIS-Anwendungspools benötigen, die Dynamics 365 Customer Engagement (on-premises) verwendet.
Wichtig
- In Dynamics 365 Customer Engagement (on-premises) sollten Konten für Dienst- und Anwendungspoolidentitäten (CRMAppPool) nicht für Dynamics 365 Customer Engagement (on-premises)-Benutzer konfiguriert werden. Andernfalls können in der Anwendung Authentifizierungsprobleme und unerwartete Verhaltensmuster für alle Dynamics 365 Customer Engagement (on-premises)-Benutzer auftreten. Weitere Informationen: Probleme in CRM, wenn das CRMAppPool-Benutzerkonto CRM-Benutzer ist
- Verwaltete Dienstkonten (gruppenverwaltete Dienstkonten (gMSA) oder einzelnverwaltete Dienstkonten) und virtuelle Konten (NT SERVICE\,<SERVICENAME>) werden für die Ausführung von Dynamics 365 Customer Engagement (on-premises)-Diensten nicht unterstützt.
Die folgenden Unterabschnitte beschreiben die Domänenbenutzerkontoberechtigungen für die einzelnen Service- oder Anwendungspoolidentitäten:
Microsoft Dynamics 365-Sandkasten-Verarbeitungsdienst
Microsoft Dynamics 365-Überwachungsdienst
Microsoft Dynamics 365 VSS Writer-Dienst
Bereitstellungswebdienst (CRMDeploymentServiceAppPool-Anwendungspoolidentität)
Anwendungsdienst (CRMAppPool-IIS-Anwendungspoolidentität)
Microsoft Dynamics 365-Sandkasten-Verarbeitungsdienst
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung Anmelden als Dienst in der lokalen Sicherheitsrichtlinie gewährt werden.
Lese- und Schreibberechtigungen für den Ordner Ablaufverfolgung, der sich standardmäßig unter \Program Files\Microsoft Dynamics 365\Trace befindet, sowie für die %AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.
Leseberechtigung für den Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM in der Windows-Registrierung.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt. Führen Sie an einer Eingabeaufforderung des Computers, auf dem der Dienst installiert ist, folgenden Befehl aus, um den Dienstprinzipalnamen für das Sandbox-Verarbeitungsdienstkonto festzulegen.
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Microsoft Dynamics 365-Dienst für die asynchrone Verarbeitung und Microsoft Dynamics 365-Dienst für die asynchrone Verarbeitung (Wartung)
Domänenbenutzer-Mitgliedschaft
Mitgliedschaft PrivUserGroup und SQLAccessGroup. Standardmäßig werden diese Gruppen erstellt entsprechende Mitgliedschaft wird während der Microsoft Dynamics 365 Server-Einrichtung gewährt.
Integrierte Leistungsprotokollbenutzer-Mitgliedschaft der lokalen Gruppe.
Dem Konto sollte die Berechtigung Anmelden als Dienst in der lokalen Sicherheitsrichtlinie gewährt werden.
Lese- und Schreibberechtigung für die folgenden Ordner.
Der
Trace-Ordner. Standardmäßig unter \Programme\Microsoft Dynamics CRM\, sowie für den%AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.Der
CustomizationImport-Ordner. Standardmäßig unter \Programme\Microsoft Dynamics CRM\. Dies kann für den Lösungsimport erforderlich sein, wenn Sie die Dynamics 365 Customer Engagement-Webdienste verwenden.
Alle Zugriffsberechtigungen außer „Volle Kontrolle“ und „DAC schreiben“ für die
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM- undHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-Unterschlüssel in der Windows-Registrierung.Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt. Führen Sie an einer Eingabeaufforderung des Computers, auf dem der Dienst installiert ist, folgenden Befehl aus, um den Dienstprinzipalnamen für das Konto des asynchronen Diensts festzulegen.
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Microsoft Dynamics 365-Überwachungsdienst
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung
Logon as servicegewährt werden.Wenn der Microsoft Dynamics 365-Überwachungsdienst mit einer Frontend-Server-Serverrolle installiert wird, ist die Mitgliedschaft in der lokalen Administratorengruppe auf dem Computer, auf dem der Dienst ausgeführt wird, erforderlich, um die Website und die Anwendungspools zu überwachen. Mehr Informationen:Verfügbare einzelne Serverrollen
Leseberechtigung für
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMSQLAccessGroup-Mitgliedschaft. Standardmäßig wird diese Gruppe erstellt entsprechende Mitgliedschaft wird während der Microsoft Dynamics 365 Server-Einrichtung gewährt.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt.
Microsoft Dynamics 365 VSS Writer-Dienst
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung
Logon as servicegewährt werden.Diesem Konto muss eine Mitgliedschaft der Gruppe
Backup Operatorsauf dem Server gewährt werden, auf dem dieser Dienst gehostet wird.Leseberechtigung für
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRMMitgliedschaft PrivUserGroup und SQLAccessGroup. Standardmäßig werden diese Gruppen erstellt entsprechende Mitgliedschaft wird während der Microsoft Dynamics 365 Server-Einrichtung gewährt.
Bereitstellungswebdienst (CRMDeploymentServiceAppPool-Anwendungspoolidentität)
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung
Logon as servicegewährt werden.Die Mitgliedschaft bei der lokalen Administratorengruppe auf dem Computer, auf dem SQL Server ausgeführt wird, ist zum Ausführen von Vorgängen an der Organisationsdatenbank (wie etwa Erstellen oder Importieren einer Organisation) erforderlich.
Mitgliedschaft in der lokalen Administratorgruppe auf dem Computer, auf dem der Bereitstellungs-Webdienst ausgeführt wird.
Systemadministratorrechte auf einer Instanz von SQL Server zur Verwendung der Konfigurations- und Organisationsdatenbanken
Lese- und Schreibberechtigungen für die Ordner
TraceundCRMWeb, die sich standardmäßig unter \Programme\Microsoft Dynamics CRM\ befinden, sowie für den%AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.Alle Zugriffsberechtigungen außer „Volle Kontrolle“ und „DAC schreiben“ für die
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM- undHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-Unterschlüssel in der Windows-Registrierung.Mitgliedschaft PrivUserGroup und SQLAccessGroup. Standardmäßig werden diese Gruppen erstellt entsprechende Mitgliedschaft wird während der Microsoft Dynamics 365 Server-Einrichtung gewährt.
Mitgliedschaft bei der CRM_WPG-Gruppe. Diese Gruppe wird für IIS-Arbeitsprozesse verwendet. Die Erstellung der Gruppe und das Hinzufügen der Mitgliedschaft erfolgen während der Ausführung der Microsoft Dynamics 365 Server-Einrichtung.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt.
Anwendungsdienst (CRMAppPool-IIS-Anwendungspoolidentität)
Domänenbenutzergruppenmitgliedschaft
Integrierte Leistungsprotokollbenutzer-Mitgliedschaft der lokalen Gruppe.
Mitglied der lokalen Administrierendengruppe auf dem Computer, auf dem der Anwendungsdienst ausgeführt wird.
Lese- und Schreibberechtigungen für die Ordner
TraceundCRMWeb, die sich standardmäßig unter \Programme\Microsoft Dynamics CRM\ befinden, sowie für den%AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.Alle Zugriffsberechtigungen außer „Volle Kontrolle“ und „DAC schreiben“ für die
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM- undHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-Unterschlüssel in der Windows-Registrierung.Mitgliedschaft PrivUserGroup und SQLAccessGroup. Standardmäßig werden diese Gruppen erstellt entsprechende Mitgliedschaft wird während der Microsoft Dynamics 365 Server-Einrichtung gewährt.
Mitgliedschaft bei der CRM_WPG-Gruppe. Diese Gruppe wird für IIS-Arbeitsprozesse verwendet. Die Erstellung der Gruppe und das Hinzufügen der Mitgliedschaft erfolgen während der Ausführung der Microsoft Dynamics 365 Server-Einrichtung.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt.
Unter Kernelmodusauthentifizierung und Dienstprinzipalnamen ausgeführte IIS-Anwendungspoolidentitäten
Standardmäßig sind IIS-Websites für die Verwendung der Kernelmodusauthentifizierung konfiguriert. Bei Ausführung der Dynamics 365 Customer Engagement (on-premises)-Website mithilfe der Kernelmodusauthentifizierung ist die Konfiguration zusätzlicher Dienstprinzipalnamen (SPN) für die CRMAppPool-Identitäten möglicherweise nicht erforderlich.
Für weitere Informationen zum Anzeigen, Löschen und Registrieren von SPN mit SetSPN.exe finden Sie unter SetSPN-Syntax von Dienstprinzipalnamen (SPN).
Microsoft Dynamics 365-Installationsdateien
Wenn Sie Dynamics 365 vom Netzwerk (beispielsweise von einer Netzwerkfreigabe) installieren möchten, müssen Sie sicherstellen, dass die richtigen Berechtigungen auf den Ordner mit den Installationsdateien (vorzugsweise auf einem NTFS-Volume) angewendet werden. Beispielsweise möchten Sie möglicherweise nur Mitgliedern der Gruppe "Domänen-Admins" Berechtigungen für den Ordner gewähren. Auf diese Weise kann das Risiko von Angriffen auf die Installationsdateien verringert werden, die die Dateien möglicherweise gefährden oder ändern. Weitere Informationen zum Festlegen von Berechtigungen für Dateien und Ordner im Windows-Betriebssystem finden Sie in der Hilfe zu Windows.
Siehe auch
Planung Ihrer Bereitstellung von Microsoft Dynamics 365
Microsoft Dynamics Bewährte Methoden für 365-Sicherheit